AB Siber Dayanıklılık Yasası 10 Aralık’ta yürürlüğe girdi. Bu yasa, blokta faaliyet gösteren diğer cihazlara veya ağlara bağlanan tüm üreticileri, distribütörleri ve teknoloji ithalatçılarını etkiliyor.
Uygulanabilir ürünlere örnek olarak akıllı kapı zilleri, bebek monitörleri, alarm sistemleri, yönlendiriciler, mobil uygulamalar, hoparlörler, oyuncaklar ve fitness takip cihazları verilebilir. Mevzuata uygun olanlar, cihazın sağlık, güvenlik ve çevre koruma açısından AB standartlarını karşıladığını gösteren ve tüketicilerin satın alma kararlarında güvenliği göz önünde bulundurmasına olanak tanıyan CE etiketine sahip olacak.
Kanun, AB’de satılan tüm cihazların temel koruma düzeyini karşılaması için mevcut siber güvenlik düzenlemelerini açıklığa kavuşturmayı ve tutarlı bir şekilde uygulamayı amaçlıyor. Teknoloji üreticilerini, ithalatçılarını ve distribütörlerini güvenlik desteği ve güncellemeleri sağlamakla yükümlü kılar.
Act’in resmi web sitesinde “Dijital donanım ve yazılım ürünleri başarılı siber saldırıların ana yollarından birini oluşturuyor” yazıyor. “Bağlantılı bir ortamda, bir üründe meydana gelen bir siber güvenlik olayı, organizasyonun tamamını veya tedarik zincirinin tamamını etkileyebilir ve genellikle birkaç dakika içinde iç pazarın sınırlarını aşarak yayılabilir.”
Dijital öğeler içeren ürünlerin güvenliğinin kötüye kullanıldığı olaylara örnek olarak WannaCry fidye yazılımı, Pegasus cep telefonu casus yazılımı ve Kaseya VSA tedarik zinciri saldırısı verilebilir.
Yasanın internet sitesinde şöyle yazıyor: “Avrupa Siber Dayanıklılık Yasası’ndan önce, Birlik düzeyinde ve ulusal düzeyde gerçekleştirilen çeşitli eylem ve girişimler, belirlenen siber güvenlikle ilgili sorunları ve riskleri yalnızca kısmen ele alarak iç pazarda yasal bir yama çalışması oluşturuyordu.”
Mevzuat, bir ürünün tasarım ve geliştirilmesinden üretim, dağıtım, bakım ve nihai imhaya kadar yaşam döngüsünün tüm aşamalarına yönelik güvenlik gerekliliklerini içerir. Kanun artık yürürlüğe girmiş olsa da, çoğu yükümlülük 11 Aralık 2027’ye kadar zorunlu olacak şekilde birçok yükümlülük aşamalı olarak uygulanacaktır.
BAKIN: NIS 2 Uyumluluğu İçin Son Tarih Geliyor: Bilmeniz Gerekenler
Nisan ayında yürürlüğe giren Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası, Birleşik Krallık’taki nesnelerin interneti cihazı üreticilerini, ithalatçılarını ve distribütörlerini benzer bir standarda tabi tutuyor. Ülkede cihazların her birinin benzersiz bir parola, güvenlik desteğinin süresi ve en azından güvenlik sorunlarını bildirme yöntemiyle birlikte gelmesi gerekiyor.
Dijital bileşenlere sahip ürünler üreten, dağıtan veya ithal eden tüm şirketlerin Yasaya uyması gerekir. Bunlar şunları içerir:
Tıbbi cihazlar, havacılık cihazları ve arabalar gibi diğer mevzuatta siber güvenlik gerekliliklerine tabi olan cihazlar için istisnalar yapılabilir. Tam liste için Kanun’un Ek III ve IV’üne bakınız.
BAKIN: Veri (Kullanım ve Erişim) Tasarısı: Nedir ve Birleşik Krallık’taki İşletmeleri Nasıl Etkiler?
İthalatçıların veya distribütörlerin ürünü kendi adı veya ticari markası altında piyasaya sürmesi veya bir kişinin önemli değişiklikler yapıp ürünü piyasaya sürmesi halinde, onlar da imalatçı düzeyinde yükümlülüklere tabi olacaklardır.
AB Siber Dayanıklılık Yasası öncelikle uygunluk değerlendirmeleri ve piyasa gözetimi yoluyla uygulanacaktır. Değerlendirmelerin çoğu şirket içinde gerçekleştirilebilirken, kritik ürünlerin akredite üçüncü taraflarca değerlendirilmesi gerekir. Prosedürler ayrıca ürünün risk düzeyine göre de değişir. Ulusal Piyasa Gözetim Otoriteleri, denetimler, testler ve dokümantasyon kontrolü yoluyla uygunluğu izleyecektir.
Yasaya uymayan üreticiler, hangisi daha yüksekse, 15.000.000 Avro’ya veya bir önceki mali yıl için dünya çapındaki toplam yıllık cirosunun %2,5’ine kadar idari para cezasına tabi olacaktır.
Yasaya uymayan ithalatçılar ve distribütörler, hangisi daha yüksekse, 10.000.000 Euro’ya kadar veya bir önceki mali yıl için dünya çapındaki toplam yıllık cirosunun %2’sine kadar idari para cezasına tabi olacaktır. Geri çağırmalar ve yasaklamalar da düzeltici eylemler olarak kullanılabilir.
Herkes Siber Dayanıklılık Yasası’ndan memnun değil. 2023 yılında küresel CISO’ların ve siber güvenlik liderlerinin %34’ü, özellikle AB Siber Dayanıklılık Yasası’na atıfta bulunarak mevzuatın kendileri için en büyük stres kaynağı olduğunu söyledi.
Venable LLP danışmanı ve veri koruma hukuku uzmanı Harley Geiger, mevzuatın AB’yi siber güvenlik konusunda, “GDPR’nin mahremiyet konusunda olduğu kadar” etkili hale getireceğini söylüyor. Ancak şirketlerin istismar edilen güvenlik açıklarını keşfedildikten sonraki 24 saat içinde açıklama zorunluluğu konusunda endişeli.
Geiger, 2023’te TechRepublic’e şunları söyledi: “Bununla ilgili endişe, 24 saat içinde güvenlik açığının o noktada yamalanması veya hafifletilmesinin muhtemel olmamasıdır. O zaman karşınıza, potansiyel olarak düzinelerce AB devlet kurumuyla paylaşılan, hafifletilmemiş güvenlik açıkları içeren bir yazılım paketleri listesi gelebilir.”
Başka bir deyişle, ENISA’nın bunu ilgili üye devletlerin bilgisayar güvenliği hazırlık ekipleri ve gözetim yetkilileriyle paylaşacağını açıkladı.
“Eğer AB çapında bir yazılımsa, potansiyel olarak dahil olabilecek 50’den fazla devlet kurumuna bakıyorsunuz. TechRepublic’e, gelen raporların sayısı çok fazla olabilir” dedi. “Bu tehlikelidir ve bu bilgilerin düşmanların eline geçmesi veya istihbarat amacıyla kullanılması riskini taşır.”
Kaynak: https://www.techrepublic.com/article/eu-cyber-resilience-act/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası